Monitorar o Firewall do Azure

Este artigo descreve:

• Os tipos de dados de monitoramento que você pode coletar para esse serviço.
• Maneiras de analisar esses dados.

Quando seus aplicativos e processos de negócios críticos dependem de recursos do Azure, você precisa monitorar e receber alertas para o seu sistema. O serviço do Azure Monitor coleta e agrega métricas e logs de cada componente do seu sistema. O Azure Monitor lhe fornece uma exibição da disponibilidade, desempenho e resiliência e notifica você em caso de problemas. Você pode usar o portal do Azure, o PowerShell, a CLI do Azure, a API REST ou as bibliotecas de cliente para configurar e exibir dados de monitoramento.

• Para obter mais informações sobre o Azure Monitor, confira a Visão geral do Azure Monitor.
• Para obter mais informações sobre como monitorar os recursos do Azure de modo geral, confira Monitorar os recursos do Azure com o Azure Monitor.

Você pode usar logs e métricas do Firewall do Azure para monitorar seu tráfego e operações dentro do firewall. Esses logs e métricas têm várias finalidades essenciais, incluindo:

• Análise de Tráfego: Use registros para examinar e analisar o tráfego que passa pelo firewall. Essa análise inclui examinar tráfego permitido e negado, inspecionar endereços IP de origem e destino, URLs, números de porta, protocolos e mais. Esses insights são essenciais para entender os padrões de tráfego, identificar potenciais ameaças de segurança e solucionar problemas de conectividade.

• Métricas de Desempenho e Integridade: As métricas do Firewall do Azure fornecem métricas de desempenho e integridade, como dados processados, taxa de transferência, contagem de ocorrências de regras e latência. Monitore essas métricas para avaliar a integridade geral do seu firewall, identificar gargalos de desempenho e detectar anomalias.

• Trilha de Auditoria: Os logs de atividade habilitam a auditoria de operações relacionadas aos recursos do firewall, capturando ações como criação, atualização ou exclusão de regras e políticas do firewall. Revisar os logs de atividades ajuda a manter um registro histórico das alterações de configuração e garante conformidade com os requisitos de segurança e auditoria.

Tipos de recurso

O Azure usa o conceito de tipos de recursos e IDs para identificar tudo em uma assinatura. Os tipos de recurso também fazem parte das IDs de recursos para cada recurso em execução no Azure. Por exemplo, um tipo de recurso para uma máquina virtual é Microsoft.Compute/virtualMachines. Para obter uma lista de serviços e os tipos de recursos associados a eles, confira Provedores de recursos.

O Azure Monitor organiza os principais dados de monitoramento de maneira similar em métricas e logs com base em tipos de recursos, também chamados de namespaces. Métricas e logs diferentes estão disponíveis para diferentes tipos de recursos. Seu serviço pode estar associado a mais de um tipo de recurso.

Para obter mais informações sobre os tipos de recursos do Firewall do Azure, confira Referência de dados de monitoramento do Firewall do Azure.

Armazenamento de dados

Para o Azure Monitor:

• Os dados de métricas são armazenados no banco de dados de métricas do Azure Monitor.
• Os dados de log são armazenados no repositório de logs do Azure Monitor. O Log Analytics é uma ferramenta no portal do Azure que pode consultar esse repositório.
• O log de atividades do Azure é um repositório separado com uma interface própria no portal do Azure.

É possível rotear dados de logs de atividades e de métricas para o repositório de logs do Azure Monitor. Em seguida, você pode usar o Log Analytics para consultar os dados e correlacioná-los com outros dados de log.

Muitos serviços podem usar configurações de diagnóstico para enviar dados de métricas e logs para outros locais de armazenamento fora do Azure Monitor. Os exemplos incluem o Armazenamento do Azure, sistemas de parceiros hospedados e sistemas de parceiros não-Azure, usando Hubs de Eventos.

Para obter informações detalhadas sobre como o Azure Monitor armazena dados, confira Plataforma de dados do Azure Monitor.

Métricas de plataforma do Azure Monitor

O Azure Monitor fornece métricas de plataforma para a maioria dos serviços. Essas métricas são:

• Definidas individualmente para cada namespace.
• Armazenadas no banco de dados de métricas da série temporal do Azure Monitor.
• Leves e capazes de dar suporte a alertas quase em tempo real.
• Usadas para acompanhar o desempenho de um recurso ao longo do tempo.

Coleta: O Azure Monitor coleta as métricas da plataforma automaticamente. Nenhuma configuração é necessária.

Roteamento: você também pode rotear algumas métricas da plataforma para Logs do Azure Monitor / Log Analytics para que você possa consultá-las com outros dados de log. Verifique a configuração Exportação de DS para cada métrica para ver se você pode usar uma configuração de diagnóstico para rotear a métrica para o Azure Monitor Logs/Log Analytics.

• Para obter mais informações, confira a Configuração de diagnóstico de métricas.
• Para definir as configurações de diagnóstico para um serviço, confira Criar configurações de diagnóstico no Azure Monitor.

Para obter uma lista de todas as métricas que é possível coletar para todos os recursos no Azure Monitor, confira Métricas com suporte no Azure Monitor.

Para obter uma lista das métricas disponíveis para o Firewall do Azure, confira Referência de dados de monitoramento do Firewall do Azure.

Logs de recursos do Azure Monitor

Os logs de recursos fornecem insights sobre as operações que foram executadas por um recurso do Azure. Os logs são gerados automaticamente, mas você precisa encaminhá-los para os logs do Azure Monitor para serem salvos ou consultados. Os logs são organizados em categorias. Um determinado namespace pode ter várias categorias de logs de recursos.

Coleta: Os logs de recursos não são coletados nem armazenados até que você crie uma configuração de diagnóstico e encaminhe os logs para um ou mais destinos. Ao criar uma configuração de diagnóstico, você especifica quais categorias de logs coletar. Há várias maneiras de criar e manter configurações de diagnóstico, incluindo o portal do Azure, programaticamente e por meio do Azure Policy.

Encaminhamento: O padrão sugerido é encaminhar os logs de recursos para os logs do Azure Monitor para que você possa consultá-los com outros dados de logs. Também estão disponíveis outros locais, como o Armazenamento do Microsoft Azure, os Hubs de Eventos do Azure e determinados parceiros de monitoramento da Microsoft. Para obter mais informações, confira Logs de recursos do Azure e Destinos de logs de recursos.

Para obter informações detalhadas sobre como coletar, armazenar e encaminhar logs de recursos, confira Configurações de diagnóstico no Azure Monitor.

Para obter uma lista de todas as categorias de logs de recursos disponíveis no Azure Monitor, confira Logs de recursos com suporte no Azure Monitor.

Todos os logs de recursos no Azure Monitor têm os mesmos campos de cabeçalho, seguidos de campos específicos do serviço. O esquema comum está descrito em Esquema do log de recursos do Azure Monitor.

Para obter informações sobre as categorias de log de recursos disponíveis, suas tabelas associadas no Log Analytics e os esquemas de log do Firewall do Azure, consulte a Referência de dados de monitoramento do Firewall do Azure.

A Pasta de Trabalho do Firewall do Azure oferece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-la para criar relatórios visuais avançados dentro do portal do Azure. Você pode explorar vários Firewalls implantados no Azure e combiná-los em experiências interativas unificadas.

Você também pode se conectar à sua conta de armazenamento e recuperar as entradas JSON dos logs de acesso e desempenho. Depois de baixar os arquivos JSON, você pode convertê-los em CSV e exibi-los no Excel, no Power BI ou em qualquer outra ferramenta de visualização de dados.

Log de atividades do Azure

O log de atividades contém eventos de nível de assinatura que acompanham as operações de cada recurso do Azure, conforme visto fora desse recurso, por exemplo, criar um recurso ou iniciar uma máquina virtual.

Coleta: Os eventos do log de atividades são gerados automaticamente e coletados em um armazenamento separado para visualização no portal do Azure.

Roteamento: você pode enviar dados de log de atividades para os logs do Azure Monitor para analisá-los junto com outros dados de log. Também estão disponíveis outros locais, como o Armazenamento do Microsoft Azure, os Hubs de Eventos do Azure e determinados parceiros de monitoramento da Microsoft. Para obter mais informações sobre como encaminhar o log de atividades, confira Visão geral do log de atividades do Azure.

Rastreamento de alterações (Versão prévia)

Azure Resource Graph (ARG) é um serviço do Azure projetado para fornecer exploração de recursos eficiente e de alto desempenho em escala.  Azure Resource Graph (ARG) fornece dados de análise de alterações para vários cenários de gerenciamento e solução de problemas. Os usuários podem descobrir quando as alterações foram detectadas em uma propriedade do Azure Resource Manager (ARM), exibir detalhes da alteração da propriedade e consultar alterações em escala na assinatura, no grupo de gerenciamento ou no locatário. 

A análise de alterações do ARG adicionou recentemente suporte para RuleCollectionGroups. Agora você pode controlar as alterações nos Grupos de Coleção de Regras do Firewall do Azure usando uma consulta do Azure Resource Graph na página ResourceGraphExplorer do portal do Azure usando uma consulta como esta:

Abaixo está um exemplo de saída de alteração.  

Essa capacidade pode ajudar você a acompanhar as alterações feitas nas regras de firewall, ajudando a garantir a responsabilidade por um recurso confidencial como um firewall.

Para obter um controle abrangente das alterações do conjunto de regras com consultas e exemplos detalhados, consulte Controlar alterações no conjunto de regras.

Logs estruturados do Firewall do Azure

Os logs estruturados são um tipo de dados de log organizados em um formato específico. Eles usam um esquema predefinido para estruturar dados de log de uma maneira que facilita a pesquisa, o filtro e a análise. Ao contrário dos logs não estruturados, que consistem em texto de forma livre, os logs estruturados têm um formato consistente que os computadores podem analisar.

Os logs estruturados do Firewall do Azure fornecem uma exibição mais detalhada dos eventos de firewall. Eles incluem informações como endereços IP de origem e destino, protocolos, números de porta e ações executadas pelo firewall. Eles também incluem mais metadados, como a hora do evento e o nome da instância do Firewall do Azure.

Atualmente, as seguintes categorias de logs de diagnóstico estão disponíveis para o Azure Firewall:

• Log de regra de aplicativo
• Log de regras de rede
• Log de proxy DNS

Essas categorias de log usam o modo de diagnóstico do Azure. Nesse modo, todos os dados de qualquer configuração de diagnóstico são coletados na tabela AzureDiagnostics.

Com os logs estruturados, você poderá optar por usar Tabelas Específicas de Recursos em vez de uma tabela AzureDiagnostics existente. Caso ambos os conjuntos de logs sejam necessários, pelo menos duas configurações de diagnóstico precisam ser criadas por firewall.

Modo específico do recurso

No modo Recurso específico, as tabelas individuais no workspace selecionado são criadas para cada categoria selecionada na configuração de diagnóstico. Esse método é recomendado, pois:

• pode reduzir os custos gerais de exploração madeireira em até 80%.
• torna muito mais fácil trabalhar com os dados em consultas de log.
• facilita a descoberta de esquemas e sua estrutura.
• melhora o desempenho tanto na latência de ingestão quanto nos tempos de consulta.
• permite que você conceda direitos do Azure RBAC em uma tabela específica.

Novas tabelas específicas de recursos agora estão disponíveis na configuração de diagnóstico que permite que você utilize as seguintes categorias:

• Log de regras de rede - Contém todos os dados do log de regras de rede. Cada correspondência entre o plano de dados e a regra de rede cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
• Log de regras NAT - Contém todos os dados de log de eventos DNAT (Destination Network Address Translation). Cada correspondência entre o plano de dados e a regra DNAT cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente. Como observação, a tabela AZFWNATRule registra somente quando ocorre uma correspondência de regra DNAT. Se não houver correspondência, nenhum log será gerado.
• Log de regras do aplicativo – contém todos os dados de log de regras do aplicativo. Cada correspondência entre o plano de dados e a regra do Aplicativo cria uma entrada de log com o pacote do plano de dados e os atributos da regra correspondente.
• Log de Inteligência contra Ameaças – contém todos os eventos da Inteligência contra Ameaças.
• Log IDPS – contém todos os pacotes de plano de dados que foram combinados com uma ou mais assinaturas IDPS.
• Log de proxy DNS – contém todos os dados de log de eventos do Proxy DNS.
• Log de falhas de resolução de FQDN interno - Contém todas as solicitações de resolução de FQDN interno do Firewall que resultaram em falha.
• Log de agregação de regras de aplicativo - Contém dados agregados de log de regras de aplicativo para o Policy Analytics.
• Log de agregação de regras de rede - Contém dados agregados de log de regras de rede para o Policy Analytics.
• Log de agregação de regras NAT - Contém dados agregados de log de regras NAT para o Policy Analytics.
• Log dos principais fluxos: o log dos principais fluxos (Fluxos grandes) mostra as principais conexões que estão contribuindo para uma taxa de transferência mais alta passando pelo firewall. Para obter mais informações, consulte o log de fluxos principais.
• Rastreamento de fluxo: contém sinalizadores, informações de fluxo e o período de tempo em que os fluxos foram registrados. Você pode ver informações completas de fluxo, como SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (fluxos).

Todas as tabelas específicas de recursos agora oferecem suporte ao plano de tabela Básico, o que pode reduzir os custos de registro em até 80%. Para obter mais informações sobre as limitações e diferenças deste novo plano de registro, veja Logs do Azure Monitor. Para saber mais sobre a nova experiência de consulta, consulte os dados de consulta em uma tabela básica e auxiliar.

Habilitar logs estruturados

Para habilitar os logs estruturados do Firewall do Azure, primeiro você deve configurar um workspace do Log Analytics em sua assinatura do Azure. Esse workspace é usado para armazenar os logs estruturados gerados pelo Firewall do Azure.

Depois de configurar o workspace do Log Analytics, você poderá habilitar logs estruturados no Firewall do Azure navegando até a página Configurações de diagnóstico do Firewall no portal do Azure. Nela, você deve selecionar a tabela de destino específica do recurso e selecionar o tipo de eventos que deseja registrar.

Consultas de logs estruturados

Uma lista de consultas predefinidas está disponível no portal do Azure. Essa lista tem uma consulta de log KQL (Linguagem de Consulta Kusto) predefinida para cada categoria e uma consulta unida mostrando todos os eventos de log do firewall do Azure em exibição única.

Pasta de trabalho do Firewall do Azure

A Pasta de Trabalho do Firewall do Azure oferece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-la para criar relatórios visuais avançados dentro do portal do Azure. Você pode explorar vários firewalls implantados no Azure e combiná-los em experiências interativas unificadas.

Para implantar a nova pasta de trabalho que usa os logs estruturados do Firewall do Azure, consulte a Pasta de Trabalho do Azure Monitor para Firewall do Azure.

Logs de Diagnóstico do Microsoft Azure herdados

Os logs de diagnóstico herdados do Azure são as consultas de log originais do Firewall do Azure que geram dados de log em um formato de texto livre ou não estruturado. As categorias de logs herdadas do Firewall do Azure usam o modo de diagnóstico do Azure, coletando todos os dados na tabela AzureDiagnostics. Caso sejam necessários tanto os logs estruturados quanto os logs de diagnósticos, é preciso criar pelo menos duas configurações de diagnóstico por firewall.

Há suporte para as seguintes categorias de log nos logs de diagnóstico:

• Regra de aplicativo do Firewall do Azure
• Regra de rede do Firewall do Azure
• Proxy DNS do Firewall do Azure

Para saber como habilitar o registro em log de diagnóstico usando o portal do Azure, confira Habilitar logs estruturados.

Log de regra de aplicativo

O log de regras do aplicativo será salvo em uma conta de armazenamento, transmitido para os hubs de eventos e/ou enviado para os logs do Azure Monitor somente se você habilitá-lo para cada Firewall do Azure. Cada nova conexão que corresponda a uma de suas regras de aplicativo configurado gera um log para a conexão aceita/negada. Os dados são registrados no formato JSON, conforme mostrado nos seguintes exemplos:

Category: application rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

{
 "category": "AzureFirewallApplicationRule",
 "time": "2018-04-16T23:45:04.8295030Z",
 "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
 "operationName": "AzureFirewallApplicationRuleLog",
 "properties": {
     "msg": "HTTPS request from 10.1.0.5:55640 to mydestination.com:443. Action: Allow. Rule Collection: collection1000. Rule: rule1002"
 }
}

{
  "category": "AzureFirewallApplicationRule",
  "time": "2018-04-16T23:45:04.8295030Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallApplicationRuleLog",
  "properties": {
      "msg": "HTTPS request from 10.11.2.4:53344 to www.bing.com:443. Action: Allow. Rule Collection: ExampleRuleCollection. Rule: ExampleRule. Web Category: SearchEnginesAndPortals"
  }
}

Log de regras de rede

O log de regras de rede é salvo em uma conta de armazenamento, transmitido para hubs de eventos e/ou enviado para logs do Azure Monitor somente se você habilitá-lo para cada Firewall do Azure. Cada nova conexão que corresponda a uma de suas regras de rede configuradas gera um log para a conexão aceita/negada. Os dados são registrados no formato JSON, conforme mostrado no seguinte exemplo:

Category: network rule logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

{
 "category": "AzureFirewallNetworkRule",
 "time": "2018-06-14T23:44:11.0590400Z",
 "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
 "operationName": "AzureFirewallNetworkRuleLog",
 "properties": {
     "msg": "TCP request from 111.35.136.173:12518 to 13.78.143.217:2323. Action: Deny"
 }
}

Log de proxy DNS

O log do proxy DNS é salvo em uma conta de armazenamento, transmitido para Hubs de Eventos e/ou enviados aos logs do Azure Monitor somente se você o tiver habilitado para cada Firewall do Azure. Esse log rastreia mensagens DNS para um servidor DNS configurado com o proxy DNS. Os dados são registrados no formato JSON, conforme mostrado nos seguintes exemplos:

Category: DNS proxy logs.
Time: log timestamp.
Properties: currently contains the full message.
note: this field will be parsed to specific fields in the future, while maintaining backward compatibility with the existing properties field.

Sucesso:

{
  "category": "AzureFirewallDnsProxy",
  "time": "2020-09-02T19:12:33.751Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallDnsProxyLog",
  "properties": {
      "msg": "DNS Request: 11.5.0.7:48197 – 15676 AAA IN md-l1l1pg5lcmkq.blob.core.windows.net. udp 55 false 512 NOERROR - 0 2.000301956s"
  }
}

Falhou:

{
  "category": "AzureFirewallDnsProxy",
  "time": "2020-09-02T19:12:33.751Z",
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
  "operationName": "AzureFirewallDnsProxyLog",
  "properties": {
      "msg": " Error: 2 time.windows.com.reddog.microsoft.com. A: read udp 10.0.1.5:49126->168.63.129.160:53: i/o timeout”
  }
}

Formato da mensagem:

[client’s IP address]:[client’s port] – [query ID] [type of the request] [class of the request] [name of the request] [protocol used] [request size in bytes] [EDNS0 DO (DNSSEC OK) bit set in the query] [EDNS0 buffer size advertised in the query] [response CODE] [response flags] [response size] [response duration]

Analisar dados de monitoramento

Existem várias ferramentas para analisar os dados de monitoramento.

Ferramentas do Azure Monitor

O Azure Monitor dá suporte às seguintes ferramentas básicas:

• Explorador de Métricas, uma ferramenta no portal do Azure que permite que você veja e analise as métricas de recursos do Azure. Para obter mais informações sobre essa ferramenta, consulte Analisar métricas com o explorador de métricas do Azure Monitor.

• Log Analytics, uma ferramenta no portal do Azure que permite consultar e analisar dados de log usando o KQL (Linguagem de Consulta Kusto). Para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.

• O log de atividades, que possui uma interface de usuário no portal do Azure para visualização e pesquisas básicas. Para fazer uma análise mais detalhada, você precisa encaminhar os dados para os logs do Azure Monitor e executar consultas mais complexas no Log Analytics.

As ferramentas que permitem uma visualização mais complexa incluem:

• Painéis, que permitem que você combine diferentes tipos de dados em um único painel no portal do Azure.
• Pastas de Trabalho, relatórios personalizáveis que você pode criar no portal do Azure. As planilhas podem incluir texto, métricas e consultas de log.
• Grafana, uma ferramenta de plataforma aberta que oferece excelência em termos de painéis operacionais. Você pode usar o Grafana para criar painéis que incluem dados de várias fontes além do Azure Monitor.
• Power BI, um serviço de análises corporativas que fornece visualizações interativas nas diversas fontes de dados. Você pode configurar o Power BI para importar dados de log automaticamente do Azure Monitor a fim de aproveitar essas visualizações.

Ferramentas de exportação do Azure Monitor

Você pode obter dados do Azure Monitor em outras ferramentas usando os seguintes métodos:

• Métricas: Use a API REST para métricas para extrair dados de métricas do banco de dados de métricas do Azure Monitor. A API dá suporte a expressões de filtros para refinar os dados recuperados. Para obter mais informações, confira Referência da API REST do Azure Monitor.

• Logs: Utilize a API REST ou bibliotecas de cliente associadas.

• Outra opção é a exportação de dados do workspace.

Para começar a usar a API REST do Azure Monitor, confira o Passo a passo da API REST de monitoramento do Azure.

Consultas do Kusto

Analise os dados de monitoramento nos logs do Azure Monitor e no repositório do Log Analytics usando a linguagem de consulta Kusto (KQL).

Para obter uma lista de consultas comuns para qualquer serviço, confira a Interface de consultas do Log Analytics.

Alertas

Os alertas do Azure Monitor o notificam proativamente quando condições específicas são encontradas em seus dados de monitoramento. Os alertas permitem que você identifique e resolva problemas no seu sistema antes que os clientes os percebam. Para saber mais, confira Alertas do Azure Monitor.

Existem muitas fontes de alertas comuns para os recursos do Azure. Para obter exemplos de alertas comuns para recursos do Azure, confira Amostra de consultas de alerta de logs. O site AMBA (Alertas de Linha de Base do Azure Monitor) fornece um método semi-automatizado para a implantação de alertas, painéis e diretrizes de métricas de plataforma importantes. O site se aplica a um subconjunto de serviços do Azure em contínua expansão, incluindo todos os serviços que fazem parte da Zona de Destino do Azure (ALZ).

O esquema de alerta comum padroniza o consumo das notificações de alerta do Azure Monitor. Para obter mais informações, confira Esquema de alertas comuns.

Tipos de alertas

Você pode receber alertas sobre qualquer fonte de dados de log ou métrica na plataforma de dados do Azure Monitor. Existem muitos tipos diferentes de alertas dependendo dos serviços que você está monitorando e dos dados de monitoramento que você está coletando. Diferentes tipos de alertas têm diversos benefícios e desvantagens. Para obter mais informações, confira Escolha o tipo de alerta de monitoramento correto para você.

A lista a seguir descreve os tipos de alertas do Azure Monitor que você pode criar:

• Os Alertas de métricas avaliam as métricas de recursos a intervalos regulares. As métricas podem ser métricas de plataforma, métricas personalizadas, logs do Azure Monitor convertidos em métricas ou métricas do Application Insights. Os alertas de métrica também podem aplicar várias condições e limites dinâmicos.
• Os Alertas de logs permitem que os usuários usem uma consulta do Log Analytics para avaliar os logs de recursos com uma frequência predefinida.
• Os Alertas do log de atividades são disparados quando ocorre um novo evento de log de atividades que corresponda às condições definidas. Os alertas de integridade de recursos e alertas de integridade de serviços são alertas de log de atividades que relatam a integridade do seu serviço e recurso.

Alguns serviços do Azure também dão suporte a alertas de detecção inteligentes, alertas do Prometheus ou regras de alerta recomendadas.

No caso de alguns serviços, você pode monitorar em larga escala aplicando a mesma regra de alerta de métricas a vários recursos do mesmo tipo que existem na mesma região do Azure. Notificações individuais são enviadas para cada recurso monitorado. Para ver os serviços e as nuvens do Azure com suporte, confira Monitorar vários recursos com uma regra de alerta.

Alerta sobre as métricas do Firewall do Azure

As métricas fornecem sinais críticos para monitorar a saúde dos seus recursos. Portanto, é importante monitorar as métricas do recurso e tomar cuidado com qualquer anomalia. Mas e se as métricas do Firewall do Azure pararem de fluir? Isso pode indicar um possível problema de configuração ou algo mais sinistro como uma interrupção. Métricas ausentes podem ocorrer devido à publicação de rotas padrão que bloqueiam o Firewall do Azure de carregar métricas ou ao número de instâncias íntegras caindo para zero. Nesta seção, você aprenderá como configurar métricas para um workspace do Log Analytics e para alertar sobre métricas ausentes.

Configurar métricas para um espaço de trabalho de análise de log

A primeira etapa é configurar a disponibilidade de métricas para o workspace do Log Analytics usando as configurações de diagnóstico no firewall.

Para definir as configurações de diagnóstico conforme mostrado na captura de tela a seguir, navegue até a página de recursos do Firewall do Azure. Isso envia métricas de firewall para o workspace configurado.

Criar alerta para acompanhar o recebimento de métricas de firewall sem falhas

Navegue até o espaço de trabalho configurado nas configurações de diagnóstico de métricas. Verifique se as métricas estão disponíveis usando a seguinte consulta:

AzureMetrics
| where MetricName contains "FirewallHealth"
| where ResourceId contains "/SUBSCRIPTIONS/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/RESOURCEGROUPS/PARALLELIPGROUPRG/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/HUBVNET-FIREWALL"
| where TimeGenerated > ago(30m)

Em seguida, crie um alerta para métricas ausentes durante um período de 60 minutos. Para configurar novos alertas sobre métricas ausentes, navegue até a página de Alertas no espaço de trabalho do Log Analytics.

Regras de alerta do Firewall do Azure

Você pode definir alertas para qualquer métrica, entrada de log ou entrada de log de atividades listada na Referência de dados de monitoramento do Firewall do Azure.

Recomendações do Assistente

Para alguns serviços, se ocorrerem condições críticas ou alterações iminentes durante operações de recurso, um alerta será exibido na página de Visão geral do serviço no portal. Você pode encontrar mais informações e correções recomendadas para o alerta nas Recomendações do assistente em Monitoramento no menu à esquerda. Durante as operações normais, nenhuma recomendação de conselheiro é exibida.

Para obter mais informações sobre o Assistente do Azure, confira Visão geral do Assistente do Azure.

Conteúdo relacionado

• Confira Referência de dados de monitoramento do Firewall do Azure para obter uma referência de métricas, logs e outros valores importantes criados para o Firewall do Azure.
• Confira Como monitorar recursos do Azure com o Azure Monitor para obter detalhes gerais sobre o monitoramento de recursos do Azure.